Direkt zum Inhalt
Filter by categories
Group 2 Created with Sketch.
Wirtschaftsprüfung & Risk Advisory
Eine Hand dreht Würfel um mit dem Schriftzug NIS 2
von
Stefan Pilarczyk

NIS-2-Registrierung

Registrierungspflicht prüfen und richtig umsetzen

Die Anforderungen rund um die NIS-2-Richtlinie sorgen bei vielen Unternehmen für Unsicherheit: Bin ich betroffen? Und wenn ja – was muss ich konkret tun? Besonders die Frage nach der Registrierung wirft in der Praxis viele Detailfragen auf.

In diesem Beitrag stellen wir Ihnen zwei kompakte Checklisten zur Verfügung. Erhalten Sie eine klare Orientierung, damit Sie jetzt genau, welche Schritte jetzt notwendig sind. Weitere Inforamtionen finden Sie zudem in unserer Pressemitteilung "Geschäftsführer-Haftungsfalle: BRL berät bei NIS-2-Umsetzung".
 

1. Checkliste NIS-2-Registrierung

Diese Unternehmen müssen sich jetzt beim BSI registrieren

Mit dieser Checkliste können Unternehmen grob einschätzen, ob ihr Unternehmen unter das NIS-2-Umsetzungsgesetz fällt und sie sich daher bis zum 6. März 2026 beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren müssen. Anderenfalls drohen Bußgelder.

Ob ein Unternehmen meldepflichtig ist, hängt von zwei Faktoren ab: Größe und Tätigkeitssektor.

Größenschwelle

NIS-2 gilt für Unternehmen, die mindestens eines der folgenden Kriterien erfüllen:

  • Mindestens 50 Mitarbeiter oder
  • Jahresumsatz von mehr als 10 Mio. Euro und Jahresbilanzsumme von mehr als 10 Mio. Euro

Wer beide Größenschwellen unterschreitet, fällt grundsätzlich nicht unter NIS-2. Ausnahme: Das BSI hat das Unternehmen explizit als NIS-2-pflichtig eingestuft.

Tätigkeitssektor

Maßgeblich ist der tatsächliche Tätigkeitsschwerpunkt. Hier unterscheidet der Gesetzgeber nach zwei Kategorien, den besonders wichtigen Einrichtungen und wichtigen Einrichtungen.

Die folgende Übersicht ist exemplarisch. Eine vollständige Sektorenliste findet sich in Anlage 1 und 2 des BSIG unter bsi.bund.de. Jeder Sektor enthält dort genauer definierte Einrichtungsarten

Besonders wichtige Einrichtungen (Kategorie 1)

Unternehmen dieser Kategorie unterliegen strengen Anforderungen und müssen mit proaktiven BSI-Audits rechnen. Ihr Unternehmen zählt zu dieser Kategorie, wenn ein nicht nur unerheblicher Tätigkeitsbereich einem der folgenden Sektoren zuzuordnen ist:

  • Energie
  • Verkehr
  • Gesundheit
  • Trinkwasser
  • Abwasser
  • Bankwesen
  • Finanzmarktinfrastruktur
  • Digitale Infrastruktur (Rechenzentren, Cloud, DNS, TK-Netze)
  • Öffentliche Verwaltung

Wichtige Einrichtungen (Kategorie 2)

Unternehmen dieser Kategorie unterliegen denselben inhaltlichen Pflichten wie jene in der Kategorie 1. Sie werden aber nur nach einem Vorfall oder einer Beschwerde durch das BSI überprüft. Ihr Unternehmen zählt zu dieser Kategorie, wenn ein nicht nur unerheblicher Tätigkeitsbereich einem der folgenden Sektoren zuzuordnen ist:

  • Maschinenbau
  • Chemie
  • Lebensmittelproduktion
  • Logistik
  • Post- und Kurierdienste
  • Digitale Dienste (Online-Marktplätze, Suchmaschinen)

Grauzonen: Wenn die Zuordnung unklar ist

Was in der Theorie eindeutig klingt, kann in der Praxis erhebliche Abgrenzungsprobleme beinhalten. Viele Unternehmen sollten sich daher gut rechtlich beraten lassen und ihre Überlegungen schriftlich dokumentieren, sofern sie sich selbst als nicht meldepflichtig einstufen.

 

2. Checkliste NIS-2-Registrierung

So registrieren Unternehmen sich beim BSI 

Die Registrierung läuft vollständig digital und ist zweistufig. Die Registrierung ist Voraussetzung für alle weiteren NIS-2-Pflichten, insbesondere die Meldung von Sicherheitsvorfällen.

Schritt 1: Unternehmenskonto einrichten

Unter mein-unternehmenskonto.de beantragen Sie ein ELSTER-Organisationszertifikat. Die Aktivierungsdaten kommen per E-Mail und per Post. Kalkulieren Sie dafür mindestens fünf Werktage ein.

Schritt 2: Im BSI-Portal registrieren

Mit dem Zertifikat melden Sie sich unter portal.bsi.bund.de an. Für die Registrierung benötigen Sie u. a. folgende Angaben:

  • Handelsregisternummer
  • Kontaktdaten der NIS-2-Kontaktstelle (Organisationseinheit) und einer NIS-2-Kontaktperson
  • Sektor- und Branchenzuordnung
  • EU-Staaten, in denen das Unternehmen aktiv ist
  • Mitarbeiterzahl, Jahresumsatz, Jahresbilanzsumme
  • Öffentliche IP-Adressbereiche
  • Zuständige Behörden (z. B. sektorspezifische Aufsichtsbehörden)


Was kommt nach der Registrierung?

Mit der Eintragung im BSI-Portal beginnen die eigentlichen Pflichten. Dazu zählt etwa der Aufbau eines Risikomanagements mit Risikoanalysen, die Einrichtung technischer und organisatorischer Schutzmaßnahmen sowie der Aufbau und die Dokumentation von Notfallplänen und Lieferkettensicherheit.

Erhebliche Sicherheitsvorfälle müssen binnen 24 Stunden gemeldet werden (Erstmeldung), binnen 72 Stunden mit einer vollständigen Meldung qualifiziert und nach 30 Tagen mit einem Abschlussbericht.

Ändern sich relevante Unternehmensinformationen, etwa zu Tätigkeitsbereichen, muss das innerhalb von zwei Wochen im Portal aktualisiert werden.

Ansprechpartner